bonjour,
depuis mercredi 6 à 02h00GMT, nous avons un certains nombre d'attaques "login" depuis plusieurs pays différents, (aucune intrusion réussie). Après avoir demandé conseil à un ami qui m'a mis en relation avec un type plus expert qui m'a aussi mis en relation avec 2 autres cibles :
Il s'avère qu'au moins une 20aine/30aine de personnes du sud ouest de la France et quelques entreprises, subissent une attaque à l'ancienne (pas très dangereuse donc).
tentative de login automatiques à base de passwords de dictionnaires...
tentatives qui visent les noms d'utilisateurs :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14oracle root php guest cron jerome anonymous invite mysql gerard herve henri natalie pleins de prénoms francophones
les adresses les plus insistantes, incriminées sont essentiellement
israel, chine, corée italy et Roumanie :
mais il y en a d'autre...
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13 192.117.0.0/15 192.113.0.0/16 192.114.0.0/15 192.116.0.0/15 192.115.0.0/16 192.113.0.0/16 80.96.0.0/16 118.217.0.0/16 80.96.150.0/24 81.95.157.0/24 62.149.203.0/24 82.247.65.0/24 58.211.5.0/24
ce qui lui font dire que c'est des attaques bots, c'est que des tentatives de connexion ssh sont tentées sur des nas hardware ou des routeurs, ou d'autres équipements passifs tels imprimantes liées aux box ADSL pour service de fax etc......
J'ai commencé par fermer au maximum mon routeur, tout éteindre sauf la machine qui a eu les tentatives de connexion, et j'ai alimenté le hosts.deny et hosts.allow pour être hyper restrictif, j'ai passé toutes les mises à jour sécurité que j'ai trouvé, et rebouté...des tests nessus seront fait demain ...
tiger m'a remonté que quelques Waring sans importance... fail2ban rempli la log au fur et à mesure... mais depuis ce matin ça c'est vraiment calmé, de 500 essais jours, ce matin y'en a 4.
sur le moment ça fait peur...
si vous êtes dans le sud ouest de la france avec free, sfr ou orange comme opérateurs ADSL faites les mises à jour sécurité rapidement.... vous pourriez vous aussi être impactés...
Personnellement jusqu'à ce matin, qu'on m'a alerté, je ne m'étais pas rendu compte que moi aussi je faisais parti des "cibles"... effectivement si....
Partager